宽带数据城域网系统集成项目技术汇编

《宽带数据城域网系统集成项目技术汇编》由会员分享，可在线阅读，更多相关《宽带数据城域网系统集成项目技术汇编（18页珍藏版）》请在装配图网上搜索。

1、首信股份（邮电通信设备厂）宽带数据城域网系统集成项目技术白皮书（第一版）首信股份数据网络事业部技术支持中心二零零一年七月目录第一章城域网基本概念41.1 宽带城域网概念41.2 宽带城域网建设兴起的原因5第二章城域网建设分析52.1.宽带城域网建设目标52.2.网络承载商可以提供的业务62.3.网络运营商可以提供的业务62.4 城域网主要大用户7第三章城域网结构、技术和方案73.1.城域网的网络构成73.2.城域网网络分层结构83.3.城域网数据传输技术简介83.3.1.DPT 技术83.3.2.POS 技术93.3.3.ATM 技术93.3.4.GigaEthernet 技术103.4.城域

2、网骨干技术选择的考虑113.5 城域网接入技术113.6.城域网网络设备选型123.6.1.骨干网络产品设备选型123.6.2.接入网络产品的选择12第四章城域网管理134.1宽带城域网网络管理134.1 主要的大型网络管理系统14第五章城域网网络安全威胁165 .1 城域网安全问题以与解决技术手段165.2 应用平台安全175.3 安全部署19第一章城域网基本概念1.1 宽带城域网概念 宽带业务的兴起，城域围的用户和信息流的独立，运营收入的主要来源的原因已使城域网从计算机的领域里无足轻重的地位发展到当前网络建设的热点，城域网是城市的信息基础，城域网的目的是高速有效的将各种媒体信息送到用户身边

3、。 城域网概念是有计算机网络演化而来的，是介入广域网和局域网之间，在城市与郊区围实现信息传输与交换的一个网络，这里所说的城域网，由于数据通讯和电信技术的发展赋予了新的含义，城域网是适用于城市的信息基础设施，是国家高速信息公路与城市广大用户的中间环节，建造城域网的目的是：提供单一的通用的和公共的网络架构，用以高速有效传输数据、语音、图象和视频等信息，满足用户日新月异的需求。目前许多国家，城域网正在和国家信息高速公路同步进行发展。城域网的围大概在80km ，一般局间中继距离大约在5-7 公里。城域网相关的提法还有宽带城域网，IP 城域网，宽带IP 城域网，无线城域网等。宽带城域网是一个以IP 和A

4、TM 电信技术为基础，集数据、语音、视频服务为一体的高带宽、多功能、多业务接入的可发展的和开放的多媒体通讯网络。1.2 宽带城域网建设兴起的原因 宽带城域网的建设成为我国的热点主要有以下的原因：1 、城市信息化步划加快 随着网络经济的迅速崛起，各种应用相继推出，电子商务、企业上网、政府上网、智能小区等工程的启动，到目前的信息港、城域网概念的兴起，政府、学校、企业和用户读数据业务的需求日益旺盛，同时，语音、图象等多媒体通信的需求也日益增长，提供宽带多面体的业务，以成为网络运营赏开拓市场的新的空间，宽带城域网以成为信息高速公路建设的重要部分。2 、我国宽带市场竞争激烈信息服务市场开放程度进一步加大

5、；建设宽带城域网，开拓信息服务新空间；全面满足客户多层次的业务需求；提供新的开拓手段；满足高速增长的宽带业务需求；宽带业务市场将加速运营商格局的变化；竞争主体将多样化。第二章城域网建设分析2.1.宽带城域网建设目标 目标就是：以最少的资金（避免ATM 和IP 多网的重复建设）建设一个先进的（采用最新的信息技术）、满足综合业务（使的新技术能和旧技术融合、宽带业务和窄带业务融合、有线和无线融合、移动和固定融合）的城域网平台。能为用户提供各种基本业务（数据、语音和视频）以与增值业务（虚拟专网、IP、远程教育），并能迅速获得理由的回报（收回投资的周期短），一进一步扩大市场的占有和提供市场的竞争力。 建

6、设先进的宽带城域网是新一代网络发展的方向。城域网具有必须支持各种不同业务，结构上变化较大，且随着用户的不同而不同，投资量大，接入技术多样，接入方式灵活的特点。总之，城域网是多种技术、产品、网络的融合体，需要以业务需求为主导建设网络。2.2.网络承载商可以提供的业务 随着通信技术的发展，通信运营商将逐渐分为两类主体：承载网络运营商和业务提供商。具有网络资源的运营商，通过带宽的批发占有市场，而更多的业务提供商，将通过提供不同的业务，来实现市场的定位。按业务的分类，城域网可以提供以下的业务：1 、传统的TDM 业务，包括N*64kbit ，N*2Mbit/s ，N*34Mbit/s,N*45Mbit

7、/s,N*140Mbit/s,N*155Mbit/s,N*622Mbit/s直到10Gbit/s ，既有交换机中继线，基站业务，也有传送34/45M 的接口；2 、ATM 业务，ATM 业务既可以是34/45Mbit/s，155Mbit/s 借口，也可以是VC4-XC 级接口，或者是IP OVER ATM OVER SDH 方式；3 、IP 业务，一般是10/100/1000Mbit/s 为主。按照用户的分类，可分为企业集团用户、行业集团用户、SOHO 和写字楼用户、智能化小区、出租业务等；2.3.网络运营商可以提供的业务目前城域网起步初期要求能够满足两类业务的需求：1 、QOS 要求较高的互

8、连业务和实时视频业务：基于IP 的语音业务、电子商务、虚拟专网、远程教育、协同设计、协同实验、数字图书馆、电视会议、可视、视频广播、食品点播、新闻、广告、虚拟现实、交互式游戏，宽带因特网接入、宽带字能化社区等多种；2 、QOS 要求较低的INTERNET 上的业务：E-MAIL，FTP 、TELNET 等。一般而言，企业互连、实时食品、VOIP 等业务，流量适中，但对服务品质有较高的要求，收费的标准可根据用户的SLAs，按带宽、流量、时延优先级等服务级别来划分，这部分运营收入稳定，价格高，容易产生增殖利润。另一类INTERNET 业务量较大，用户分散，是不能忽视的巨大的潜在消费群体，这部分用户

9、对价格敏感，但对上网的速度和带宽要求较高。2.4城域网主要大用户1 、政府上网 目前我国政府办公管理工作的手续登记、请示汇报、公文和会议繁多，而且在相互通信、相互合作与工作协调方面效率较低，建立办公自动化系统是提高政府办公效率的重要手段。就是实现市政府办公自动化系统，提高市政府各部门通信、协作和协调能力，改善办公环境，提高办公效率和决策水平。2 、大集团用户 建设企业部的主干网，采用先进的Internet/Intranet 技术，可以建立一个先进的集团公司虚拟企业网，满足大企业部信息管理与国外信息交流的需要。3 、高校 把校园网建成先进的多媒体网络，完成包括图书情报信息、学校行政办工等综合业务

10、信息管理系统，为广大教职工、科研人员和学生提供一个在Internet环境下进行教学和科研工作的先进平台。4 、智能小区 建设一个比较完善的数字社区和数字大厦信息服务平台。建设目标是建立基于宽带通信网络的数字社区信息服务平台，基于空间多媒体数据库，为社区用户提供智能信息导航、VOD 多媒体信息服务、WebGIS 服务和电子商务等服务和应用，探索实现中国式的电子商务和社区服务，同时实现技术创新和商业模式创新，实现服务增值和利益回报。第三章城域网结构、技术和方案3.1.城域网的网络构成 一个城域网应该包括三个方面的综合：基础设施、应用系统和信息。包括数据交换设备、城域网传输设备、接入设备和业务平台设

11、备。城域网的基础设施有主干网络和接入网组成，提供一条覆盖整个城市围的城市信息高速公路。 城域网的网络可以从分层、分割、分层和分割想结合的角度来分析：城域网网络结构分为若干交换节点组成主干网络（backbone），有若干接入点组成接入网（access subnetwork），以与连接他们的传输网络三部分组成。有将城域网划分为核心层、汇接层和接入层，有的将城域网划分为业务/控制层、骨干层和核心层。3.2.城域网网络分层结构 在城域网络设计中，可分为三层设计，分别为核心层、分布层以与接入层，各个层次的功能分别如下： 核心骨干层是一个高速的交换主干，为应用提供尽可能高的包交换速度，因此，在这一层上仅可

12、能简化数据的处理，例如：尽量少使用访问控制列表以与包过滤，这一层主要的功能是：路径的优化、执行流量的优化，提供QoS 服务、在多条可能的链路上实现负载均衡、交换式的处理能力，如：使用多协议标记交换等。 网络分布层的功能是提供核心层和接入的分界，其主要提供以下几个功能：多个域的聚合、广播或多播域的控制、各个网段的路由、传输媒体之间的转换、安全控制、流量限制与流量分类，为主干提供带宽管理、 接入层的功能就是最终用户接入网络的能力，这一层可以使用访问控制过滤和优化用户的需要，其主要包括以下几个功能：共享的带宽分配、交换的带宽分配、第二层的过滤、多域的微段化、多种接入方式的实现。3.3.城域网数据传输

13、技术简介3.3.1.DPT 技术DPT 技术是思科公司研发的、基于IP光网络的创新技术，它集成了IP 的智能化和光纤环形网络的高带宽效率。DPT 技术通过直接将IP 和光纤相连，减少了不必要的设备层。从而在现有的解决方案上，为网络营运商提供了性能价格比极好和功能极丰富的解决方案.DPT 的结构是沿相反方向传输包的一对光纤环，一个环称为环，另一环称外环，它们可以同时用作传输数据流和控制流；环和外环将每一个节点相连接，DPT 用一个环在某一方向上传送数据（下行），用另一环在相反方向上传送回送的控制包（上行）。这样，DPT 可以同时利用两根光纤，使包传送带宽最大化，加速自适应带宽利用和自愈等控制信号

14、的传播。 到现在为止，只有CISCO 的高端产品支持DPT 卡，同时，该技术还未成为一个行业的标准。3.3.2.POS 技术IP over SDH 是直接以SDH 网络作为IP 数据网络的物理传输网络。它在数据链路层以PPP 协议对IP 数据包进行封装，把IP 分组根据RFC1662 规简单地插入到PPP 帧中的信息段。然后再由SDH 通道层的业务适配器把封装后的IP数据包映射到SDH 的同步净荷中，然后向下，经过SDH 传输层和段层，加上相应的开销，把净荷装入一个SDH 帧中，最后到达光层，在光纤中传输。IP overSDH，也称Pacdket over SDH（PoS）。它保留了IP 面向

15、无连接的特征。75XXPOS 与ATM 的比较就这种业务来说，POS 相对于ATM 有如下的几个优点：(1)实施简易快捷，总体拥有成本低，收回投资周期短。(2)提高线路利用率。IP 应用目前并不能直接在ATM 上运行，对于昂贵的长途广域网线路来说，POS 技术比ATM 提高25%30%的线路利用率。(3)减少设备重复投资。(4)进一步扩大带宽的潜力很大。(5)符合当今网络的业务特征。3.3.3.ATM 技术ATM(异步传输模式)，是一种面向连接的快速分组交换技术，建立在硬件交换的基础上。它可以为每个工作站分配专用带宽。每个交换机的端口都特定于某一单个节点，并且在ATM 网络中不存在共享的访问方

16、式。信元交换是和ATM相关联的一般性说法，现有的LAN 能实现到ATM 网的逐步的过渡，需要一种能使LAN 和ATM 自然集成的方法。为此，ATM 标准的两大机构都提出了自己的方案。IETF 的方案是Classical IP and ARP over ATM，它将ATM 网络实现为一个新的数据链路层，直接将IP 地址映射为ATM 地址。它的优点是效率很高，但缺点是只针对TCP/IP，如果还有其他网络协议，就必须修改所有的协议ATM 论坛（ATM Forum）的方案是局域网仿真（LAN Emulation），它实际可以被看成是原LAN 层次中MAC 层在ATM 上的虚拟网络技术。由于ATM 是面

17、向连接的技术，因此ELAN 部的通讯流量只有其成员才有可能收到，具有相当高的安全性，而且ELAN 与传统LAN 相比具有高度灵活、无拥塞和吞吐量大等独特的优点。IP Over ATM 传输模型有以下的两种方式：1 、IP 在ATM 上传输的叠加模型IP 在ATM 上传输的叠加模型是最早的解决IP 在ATM 上实现传输的方式，其主要采用的技术为Classic IP Over ATM，LANE，MPOA 。这些技术实际上是介于IP 层与ATM 层间的中介技术对于IP 在ATM 的传输采用语言翻译的方式进行实施。2 、IP 在ATM 上传输的集成模型 对于IP 在ATM 上传输的最佳方式即为采用MP

18、LS(标记交换)的集成模型：其区别与叠加模型的根本点在于抛开中介技术，使ATM 交换机自身具有真正的了解IP 应用的智能化。3.3.4.GigaEthernet 技术GEN 是IEEE 最新通过的以太网标准（802.1z），该标准可以在铜线、单（多）模光纤上以1000Mbps 的速率传输数据，是在100M 以太网后新一代的主干网络技术。千兆位以太网标准与近1 亿个以太网节点的安装基础保持兼容，使目前的以太网用户能够充分利用他们在产品和知识的投资。千兆位以太网沿用以太网最初标准中的带有检测冲突的载波侦听多路存取(CSMA/CD)访问方法，并包含全双工以与半双工操作模式。千兆以太网技术将显著提高用

19、户所获得的用以访问服务器和应用程序的带宽。3.4.城域网骨干技术选择的考虑POS 技术和DTP 技术在用户已经有SDH 设备或能廉价使用SDH 设施以与传输距离很远的时候，建议采用POS 技术和DPT 技术。在DPT 技术和POS 技术中，建议采用DPT 技术如果在用户的SDH 设备无法组成环型结构时，可采用POS 技术。ATM 技术在用户已经有SDH 设备或能廉价使用SDH 设施，同时，用户建设网络基础设施时考虑到需要兼顾传统业务，如传统的专线业务以与传统的Frame-Relay 业务。在这种情况下，ATM 主干是唯一选择。对于GE 技术，在传输距离不远，用户没有SDH 设备或无法廉价使用S

20、DH 传输设备的时候，使用GE 技术可部分的减少用户的投资。3.5 城域网接入技术现阶段的接入技术只要包括PSTN 接入、ISDN 接入、ADSL 接入、Cable 接入、Wireless 接入以与LAN 接入几种方式。PSTN 接入：利用传统的网络，采用模拟调制解调技术传输数据，其最高的上行传输速度为56Kbps，最高的下行速度为33.6KbpsISDN 接入：采用新型的电信ISDN 网络，采用数字调治技术传输数据，ISDNBRI 最大可支持两个B 通道，最大128Kbps 的上下行传输速度。ADSL 接入技术是在现有传输线路上的一种新型数字调治解调方式，他可达到8Mbps 的下行速度以与1

21、Mbps 的上行速度。Cable 技术是对传统的有线电视网络进行改造，利用电缆调制解调器(CableModem)和同轴/光纤混合网(HFC)高速传输数据的一种接入层数据通信方式，在有线电视的频段上划分出一个上行和下行频道由于上下行数据传输。以太接入技术，采用传统的LAN 接入方式，每个网段为一个广播域，每个广播域的用户共享一个网络地址段。Wireless 接入方式，Wireless 采用802.11 协议，采用直接调频或跳频调制技术调制数据，其典型拓扑结构为1 个访问点和多个移动用户组成Wireless接入网络以与由Wireless 桥接器组成普通以太网通过Wireless 组成的桥接网络。3

22、.6.城域网网络设备选型3.6.1.骨干网络产品设备选型 在城域网设计中，对于主干网络设备的选择重要是根据其性能、端口密度、支持的主干技术等方面来做出选择： 对于采用POS 技术的骨干网络：可供选择的设备有Cisco GSR12000 路由交换机产品、Cisco 7500 系列高端路由器产品、Juniper M10 、M40 、M80 骨干路由器产品。 对于采用DPT 技术的骨干网络：可供选择的设备有Cisco GSR12000 路由交换机产品、Cisco 7500 系列高端路由器产品。 对于采用ATM 技术的骨干网络：可供选择的设备有Cisco 8540MSR ATM/第三层一体化交换机，以

23、与Cisco GSR12000 路由交换机器、Cisco 7500 系列路由器以与Juniper M10 、M40 、M80 骨干路由器产品，需要注意的是这里面产品除了8540MSR 外，其他都不做ATM 交换处理，只能做ATM 和IP 之间的转换，即ATM 边缘设备。对于ATM 接入、CES（电路仿真）以与帧中继可使用CiscoLightStream 1010 、Catalyst 8510MSR 、Cisco MGX8800 系列多服务交换机等产品。 对于采用GE 技术的骨干网络：可供选择的设备有Cisco Catalyst 6500 系列多层换机产品、Cisco GSR12000 路由交换

24、机产品、Cisco 7500 系列高端路由器产品、Juniper M10 、M40 、M80 骨干路由器产品。3.6.2.接入网络产品的选择 对于ISDN/PSTN 的接入方式：可供选择的产品有Cisco 5300 、Cisco 5400 、Cisco 5800 系列访问服务器产品。对于LAN 接入方式，可供选择的产品有Cisco Catalyst 1900 、CiscoCatalyst 2900 、Cisco Catalyst 3500 、Cisco Catalyst 4000 、Cisco Catalyst6000/6500 系列多层交换机产品，如果采用PPPOE 工作方式，可配置Cisc

25、o 7200路由器作为PPPOE 会话的终结。 对于HFC 接入方式，可供选择的产品有Cisco UBR7200 系列以与Cisco 900系列Cable 路由器产品。需要注意的是，Csico UBR 7200 系列用于有线电视头端，而Cisco 900 系列Cable 路由器用于用户端。 对于ADSL 接入方式，可供选择的设备有局端采用Cisco 6200 系列ADSL集中器，PPPOE 或PPPOA 会话的终结采用Cisco 6400 通用访问集中妻，客户端采用Cisco 600 系列ADSL 路由器/桥接器产品 对于无线接入方式，也选择的产品有Cisco Aironet 340 系列桥接

26、器、访问点以与各种PC 网络适配卡。第四章城域网管理4.1宽带城域网网络管理宽带城域网网络实现以下管理：性能管理故障管理配置管理安全管理记帐管理1 、性能管理根据ISO，性能管理衡量网络的活动和效果。性能管理包括检查检查网络应用程序和协议活动，分析可达性，测量响应时间，记录网络路由变化。性能管理可以优化网络，满足服务协议和扩展规划。监控性能包括收集数据，处理部分或全部数据，显示处理数据。可为用户提供性能管理和分析的直观工具。2 、故障管理故障管理指检测、隔离、诊断、和修正错误。它还包括向端用户和管理者。报告问题的过程，以与跟踪相关问题的趋势等。在有些情况下，故障管理的含义是研究工作区域直到修正

27、问题为止3 、配置管理配置管理帮助网络管理者跟踪网络设备和保存设备的配置信息。使用配置管理，网络管理者可以为相似的设备配置并保存确省，为特定的设备修改缺省，为特定的色后备修改缺省配置而后在设备上装入配置信息。配置管理还允许管理者维护网络财产的清单，进行版本注册等一系列工作。4 、安全管理安全管理允许网络管理者维护和发布口令以与其他认证和授权信息。安全管理还包括生成、发布和存储加密密钥的处理。安全管理的一个重要的方面是对收集、存储和检查安全审计日志的处理。5 、记帐管理记帐管理用于管理用户帐单，这样可以向独立的部门或用户按其所使用的网络服务进行收费。即使在免费的情况下，使用网络记帐对于捕获滥用网

28、络资源的。4.1主要的大型网络管理系统 在此主要对IBM（Tivoli）、HP（OpenView）、SunConnect（SunNet Manager，Encompass）CISCO（CISCOWorks）等的产品加以讨论。一、IBM 公司的Tivoli 支持SNMP 协议，置MIB Browser/Compiler,可以采集实时数据，也可以生成log 文件，并提供了与多种关系数据库产品的接口。此外，该系统还具有以下特性：1具有拓扑结构自动发现功能；2数据采集与存储功能；3提供了Filter 和Threshold 机制4基于XMotif 的图形用户界面；5提供了简单的Report Genera

29、tor（包括图形化的工具和表格）；6提供了二次开发的API； 7无法分辨网络故障之间的依赖关系； 8无性能预测能力。二、HP 公司的OpenView 网络拓扑自动发现：OpenView 的自动发现功能很好。启动后即能自动发现本网段的节点。不能在运行时手工加入与本网段非直连的管理对象，但可以在ShutDown 网络监控守护进程之后通过Seed File 实现。 性能分析：没有流量和带宽利用率的分析功能，但提供了另外的产品（HPLAN Probe）来实现它。可以通过SNMP MIB I 和 II 查询来监视网络接口的错误,但不能对错误分类。相应也提供了PC-based ProbeView 和HP

30、LAN Probe I等产品实现这一功能。ALARMS /TRAPS：提供了GUI 方式的Alarm/trap 配置。Alarms/traps 来自网上的SNMP 设备。收到Alarms/traps 后不做处理，仅记录（Log）下来。协议分析：OpenView 没有实现这一功能，可利用ProbeView/HP LAN Probe产品。历史数据分析：可以实时以图形方式显示数据报表和数据元素，也可以显示历史数据。 对第三方的兼容性：可以在运行时加载其它厂商定义的MIB 。三、SunNet ManagerSunNet Manager (SNM)系统本身没有配备实用程序，用户不得不依赖于第三方应用软件

31、。但SunNet Manager 可支持分布式网管（由RPC 实现）。 网络拓扑自动发现：仅能发现IP 网络设备，能判断SNMP (TCP socket 161)是否处于active 状态以与网络设备是否有多个端口(router).不能发现Netware 或非IP 设备。 性能分析：简单的流量和带宽利用率的分析功能，只能监测本地和本网段且图形显示粗糙，数据单位只能是packet 。不能通过SNMP MIB I or II 查询来监视冲突。可以图示错误，但未做分类（runt,giant,FCS,CRC）。SunNetManager 捆绑了两个软件包：NetMetrix （Metrix,Inc.）

32、和TRENDsystem（DeskTalk,Inc.），NetMetrix 具有流量分析能力，是 RMON 产品；TRENDsystem用 SyBase DBMS 管理SNM 的报告文件,提供了优秀的MIB 浏览功能,要求被管设备支持 RMON MIB 。ALARMS /TRAPS：可以很好地处理SNM 生成的thresholds 超界报告，也能处理其它平台的 alarms/traps（HP）。收到一个alarm/trap 后，根据配置向管理员通报错误。缺点是所有trap 放入了一个文件，且未提供浏览工具。SNM可以把SNMP Traps 转给其它SNMP 网管服务器。数目不限。SNM 不支持

33、协议分析。 历史数据分析工具：可以以图形方式显示实时数据，也可以存储并显示历史数据，数据文件以ASCII 格式存放。图形画的较粗糙。但其优点是支持图形合并。与第三方产品的兼容性：可以载入标准的和厂商自定义的MIB 。用mib2schema 编译。四、CiscoWorks 网络拓扑自动发现：CiscoWorks 使用 SunNet Manager 的mapping/discovery 工具。用Sync w/SyBase 模块扫描SunNet Manager 的数据库来寻找Cisco 设备相关的信息。相应结果写入 SyBase database 。 性能分析：从路由器查询特定类型的信息，写入SYB

34、ASE 数据库。ALARMS /TRAPS：通过配置，使Cisco 路由器使用snmp-server host IP-Address Write Community命令发送SNMP-Trap，信息通过 CiscoWorks 的相应守护程序存入SyBase 数据库。CiscoWorks 不支持协议分析。 历史数据分析：可以显示Real-Time 图形，可以显示历史数据。 对第三方产品的兼容性：仅支持Cisco 公司自己的网络设备。第五章城域网网络安全威胁 信息系统可能存在的安全威胁来自以下方面：操作系统的安全性,防火墙的安全性,来自部网用户的安全威胁,缺乏有效的手段监视、评估网络系统的安全性。采

35、用的TCP/IP 协议族软件，本身缺乏安全性,电子夹带的病毒与Web 浏览可能存在的Java/ActiveX 控件进行有效控制。5 .1 城域网安全问题以与解决技术手段 网络安全技术发展到今天，已经有成熟的方案来对付来自各方面的安全威胁。信息技术的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术、入侵监控技术、安全漏洞扫描技术、加密技术、认证和数字签名技术等。1.虚拟网技术 虚拟网技术主要基于近年发展的局域网交换技术（ATM 和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的围而无需通过开销很大的路由器。由以上运行机制带来的

36、网络安全的好处是显而易见的：信息只到达应该到达的地点。因此，防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网节点。但是，虚拟网技术也带来了新的安全问题：执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。基于网络广播原理的入侵监控技术在高速交换网络需要特殊的设置。基于MAC 的VLAN 不能防止MAC 欺骗攻击。2.防火墙技术 防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护部网络安全的前提下，提供外网络通讯。3.入侵检测技术 入侵检测系统是近年出现的新型网络安全技术，目的是提供实时

37、的入侵检测与采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自部网络的攻击，其次它能够缩短hacker 入侵的时间。4.安全扫描技术 安全扫描工具源于Hacker 在入侵网络系统时采用的工具。基于服务器的扫描器主要扫描服务器相关的安全漏洞，通常与相应的服务器操作系统紧密相关。基于网络的安全扫描器主要扫描设定网络.安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并与时发现安全漏洞。5.2 应用平台安全1.域名服务 域名服务通常为hacker 提供了入侵网络的有用信息，如服务器的IP 、操作系统信息、推导出可能的网络结构等

38、。同时，新发现的针对BIND-DNS 实现的安全漏洞也开始发现，而绝大多数的域名系统均存在类似的问题。主要的措施有：1部网和外部网使用不同的域名服务器，隐藏部网络信息。2域名服务器与域名查找应用安装相应的安全补丁。3对付Denial-of-Service 攻击，应设计备份域名服务器。2.病毒防护 病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。 病毒防护的主要技术如下：1阻止病毒的传播。2在防火墙、代理服务器、SMTP 服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC 安装病毒监控软件。检查和清除病毒。3使用防病毒软件检查和清除病毒。4病毒数

39、据库的升级。病毒数据库应不断更新，并下发到桌面系统。5在防火墙、代理服务器与PC 上安装Java 与ActiveX 控件扫描软件， 禁止未许可的控件下载和安装。3.Web Server 应用安全Web 服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止Web 服务器成为攻击的牺牲品或成为进入部网络的跳板，我们需要给予更多的关心：1Web 服务器置于防火墙保护之下。2在Web 服务器上安装实时安全监控软件。3经常审查Web 服务器配置情况与运行日志。4运行新的应用前，先进行安全测试。如新的CGI 应用。5小心设置Web 服务器的访问控制表。4.电子系统安全 电子系统的复杂性，其被发现的安全漏

40、洞非常多，并且危害很大。加强电子系统的安全性，通常有如下办法：设置一台位于停火区的电子服务器作为外电子通讯的中转站（或利用防火墙的电子中转功能）。所有出入的电子均通过该中转站中转。同样为该服务器安装实施监控和过滤系统。该服务器作为专门的应用服务器，不运行任何其它业务（切断与部网的通讯）。5.操作系统安全 市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要：周期检查系统设置（敏感数据的存放方式，访问控制，口令选择/更新）基于系统的安全监控系统。6.路由协议的安全性 通过对路由器的配置，使得在路由器交换路由表之前双方进

41、行身份的验证，可以避免非法程序假冒路由器交换错误的路由表从而控制窃取网络资源的攻击。5.3 安全部署1.防火墙系统方案 防火墙是指设置在不同网络（如可信任的企业部网和不可信的公共网）或网络安全域之间的一系列部件的组合，目的是为了保障可信任的网络安全并且维护可信任的网络与不可信任的网络之间通讯的方便。务器，不运行任何其它业务（切断与部网的通讯）。2.AAA 验证 所谓AAA 是（Authentication 、Authorization 、Accounting）的缩写，即认证、授权、记帐功能，简单的说：认证：用户身份的确认，确定允许哪些用户登录，对用户的身份的校验。授权：当用户登录后允许该用户可以干什么，执行哪些操作的授权。记帐：记录用户登录后干了些什么。AAA 功能的实施需要两部分的配合：支持AAA 的网络设备、AAA 服务器。3.安全检测 由于宽带城域网络中有许多关键的数据，建议采用安全管理中心与配合专业安全公司进行多种评估服务的方式来进行日常安全检测和扫描任务。18 / 18